Върнете се в началото
Петък, 12 юли 2024 г
домНовиниНевидимото присъствие на UNC3886 хакери на VMware ESXi VM с...

Невидимото присъствие на UNC3886 хакери във VMware ESXi VM с Linux руткитове


Заподозрян китайски заплашващ актьор, проследен като UNC3886, използва публично достъпни руткитове с отворен код, наречени „Reptile“ и „Medusa“, за да остане скрит във виртуалните машини VMware ESXi, което им позволява да извършват кражба на идентификационни данни, изпълнение на команди и страничен трафик.

Mandiant наблюдава заплахата от дълго време, като преди това докладва за атаки срещу правителствени организации, използващи Fortinet нулев ден и две VMware нулеви експлойти за продължителни периоди.

ONE нов доклад от Mandiant разкрива използването на докладваните руткитове от UNC3886 във виртуални машини за дългосрочна устойчивост и избягване, както и персонализирани инструменти за зловреден софтуер като „Mopsled“ и „Riflespine“, които използват GitHub и Google Drive за командване и контрол.

Последните атаки от UNC3886, според Mandiant, са били насочени към организации в Северна Америка, Югоизточна Азия и Океания, с допълнителни жертви, идентифицирани в Европа, Африка и други части на Азия.

Целевите индустрии включват правителство, телекомуникации, технологии, аерокосмическа индустрия, и енергия и комунални услуги.

Руткитиране на VMware ESXi

Mandiant казва, че заплахите компрометират VMware ESXi VM и инсталират руткитове с отворен код, за да поддържат достъп за дългосрочни операции.

rootkit е злонамерен софтуер, който позволява на заплахите да изпълняват програми и да правят модификации, които не са видими за потребителите на операционната система. Този тип злонамерен софтуер позволява на заплахите да скрият присъствието си, докато участват в злонамерено поведение.

„След като използва уязвимостите от нулевия ден, за да получи достъп до vCenter сървъри и след това управлявани ESXi сървъри, актьорът получи пълен контрол върху гост виртуални машини, които споделят същия ESXi сървър като vCenter сървъра“, обясни Mandiant.

„Mandiant забеляза, че актьорът използва два публично достъпни руткита, REPTILE и MEDUSA, на виртуални машини за гости, за да поддържа достъп и да избегне откриване.

Reptile е руткит за Linux с отворен код, реализиран като зареждаем модул на ядрото (LKM), предназначен да осигури задник достъп и да улесни скритото постоянство.

Основните компоненти на влечугото са:

  1. Компонент за потребителски режим (REPTILE.CMD), който комуникира с компонента за режим на ядрото, за да скрие файлове, процеси и мрежови връзки.
  2. Компонент за обратна обвивка (REPTILE.SHELL), който може да бъде конфигуриран да слуша за задействащи пакети през TCP, UDP или ICMP, осигурявайки скрит канал за дистанционно изпълнение на команда.
  3. Компонент на ниво ядро, който обвързва функциите на ядрото за извършване на действията, зададени от компонента на потребителската функция.

„REPTILE изглежда беше избраният руткит на UNC3886, тъй като беше наблюдавано да се внедрява веднага след получаване на достъп до компрометирани крайни точки“, продължи Mandiant.

„REPTILE предлага както обща функционалност на задната вратичка, като изпълнение на команди и възможности за прехвърляне на файлове, така и стелт функционалност, която позволява на заплаха да получи достъп и да контролира заразените крайни точки чрез почукване на портове.“

UNC3886 модифицира руткита, за да използва уникални ключови думи за различни внедрявания, подпомагайки избягването, като същевременно прави промени в инициатора на руткита и стартиращите скриптове, насочени към подобряване на устойчивостта и стелта.

Вторият руткит с отворен код, разгърнат от заплахата при атаки, е Medusa, известен с отвличането на динамични връзки чрез „LD_PRELOAD“.

Функционалният фокус на Medusa е регистриране на идентификационни данни, регистриране на пароли за акаунти от успешни локални и отдалечени влизания. Той също така извършва регистриране на изпълнение на команди, като предоставя на нападателите информация за дейностите на жертвата и информация за компрометираната среда.

Mandiant казва, че Medusa обикновено се разполага след Reptile като допълнителен инструмент, използвайки отделен елемент, наречен „Seaelf“.

Също така се наблюдават някои промени в Medusa, като UNC3886 деактивира някои филтри и променя конфигурационните низове.

Персонализиран зловреден софтуер

UNC3886 също беше наблюдаван да използва колекция от персонализирани инструменти за зловреден софтуер в своите операции, някои от които се представят за първи път.

Най-важните от споменатите инструменти за атака са:

  • Моп – Модулен бекдор, базиран на Shellcode, предназначен да извлича и изпълнява плъгини, което му позволява динамично да разширява възможностите си. Вижда се на vCenter сървъри и други компрометирани крайни точки заедно с Reptile.
  • Пушка - крос-платформа, която използва Google Drive за командване и контрол (C2). Той използва услуга systemd за постоянство, събира системна информация и изпълнява команди, получени от C2.
  • Втренчен – Персонализиран снифър за получаване на идентификационни данни за TACACS+ чрез обработка на пакети за удостоверяване, дешифриране и регистриране на тяхното съдържание. Той е внедрен на TACACS+ сървъри и помага на нападателите да разширят достъпа до мрежата.
  • Заден ход ръководители – UNC3886 разработи модифицирани версии на SSH клиенти и демони за улавяне на идентификационни данни и съхраняването им в XOR-криптирани регистрационни файлове. За да предотвратят презаписване от актуализации, атакуващите използват „yum-versionlock“.
  • VMCI задни врати – Семейство Backdoor, което използва комуникационния интерфейс на виртуалната машина (VMCI), за да улесни комуникацията между гост и гост виртуални машини. Той включва „VirtualShine“ (достъп до bash shell чрез VMCI сокети), „VirtualPie“ (прехвърляне на файлове, изпълнение на команди, обратна обвивка) и „VirtualSphere“ (контролер за командно реле).

Mandiant планира да публикува повече технически подробности за тези задни врати на VMCI в бъдеща публикация.

Пълният списък с индикатори за компрометиране и правила на YARA за откриване на UNC3886 активност е в долната част на доклада на Mandiant.



VIA: bleepingcomputer.com

Маризас Димитрис
Маризас Димитрисhttps://www.techwar.gr
Отдаден фен на мобилните телефони Samsung, Димитрис е развил специално отношение към продуктите на компанията, оценявайки дизайна, производителността и иновациите, които предлагат. Писане и четене на технологични новини от цял ​​свят.
СВЪРЗАНИ СТАТИИ

ОСТАВЕТЕ КОМЕНТАР

въведете своя коментар!
моля, въведете вашето име тук

Най - популярни

Последни статии